Установка Samba PDC + Squid со  сквозной ntlm авторизацией.

для раздела Блоги
ССЫЛКА
Установка samba в режиме PDC.

Итак, у нас есть сервер, работающий под ОС FreeBSD в качестве шлюза и DHCP-сервера. Теперь можно добавить функционал Primary Domain Controller’а.

1. Устанавливаем самбу портов:
#cd/usr/ports/net/samba34 (в версии 35 свозная авторизация не работает)
#make install clean

Далее пойдет компиляция, минут на 15, зависит от параметров сервера

2. В файл /etc/rc.conf, добавляем строчки для автоматического запуска samba и сопутствующих служб:

samba_enable=”YES”

nmbd_enable=”YES”
smbd_enable=”YES”
winbindd_enable=”YES”

3. Настраиваем /usr/local/etc/smb.conf
Ниже приведен конфиг домена SMBDOMAIN:
[global]

workgroup = SMBDOMAIN
netbios name = SRV
server string = SambaPDC
interfaces = Используемые интерфейсы
log level = 2
log file = /var/log/samba/log.%m
max log size = 200
logon path = %Lprofiles%U
logon home = %L%U
logon drive = H:
domain logons = Yes
os level = 255
preferred master = Yes
domain master = Yes
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind separator = +
winbind enum users = Yes
winbind enum groups = Yes
winbind use default domain = Yes
[homes]
comment = Home Directories
read only = No
browseable = No

[profiles]
path = /usr/home/samba/profiles
read only = No
create mask = 0600
directory mask = 0700
browseable = No

[netlogon]
comment = Network Logon Service
path = /usr/home/samba/netlogon
browseable = No

#Пример создания папки шары, куда имеет доступ только Admin (Папку по указанному пути, нужно создавать руками!)
[distr]
path = /usr/home/samba/distr
valid users = Admin
admin users = Admin
read only = No



Пример файла smb.conf можно скачать здесь.

4. Далее создаем необходимые самбе папки:
#mkdir –p /usr/home/samba/profiles

#mkdir –p /usr/home/samba/netlogon
#mkdir –p /usr/home/samba/distr


5. Создание юзеров и добавление машин в домен.
Создаем пользователя root для самбы, именно этим юзером будем добавлять машины в домен:
#smbpasswd -a root


Создаем необходимые группы пользователей. Каждый пользователь будет состоять в одной из групп, при этом для каждой группы можно настроить свои права.





#pw group add nt_users
#pw group add nt_admins
#pw group add nt_buhgalters


Далее нужно создать виндовые группы юзеров и скрестить их с юникс-группами:
# net groupmap add ntgroup="Domain Admins" unixgroup=nt_admins type=d

Где DomainAdmins – группа винды (именно ей будет принадлежать наш пользователь в Windows); nt_admins – юникс группа, созданная на шаг раньше.


Теперь можно регистрировать всех пользователей домена.
Для этого необходимо:
1. Создать unix пользователя:
#adduser

Username: testuser
Fullname: JustForTesting //Будет отображаться в Пуске пользователя
Uid (Leave empty for default):
Login group [testuser]: nt_admins //Указываем группу
Login group is nt_admins. Invite testuser into other groups? []:
Loginclass [default]:
Shell (sh csh tcsh nologin) [sh]:
Home directory [/home/testuser]: /dev/null //Обязательно пишем так
Home directory permissions (Leave empty for default):
Use password-based authentication? [yes]: no
Lock out the account after creation? [no]: no
Username : testuser
Password : <disabled>
Full Name : Just For Testing
Uid : 1016
Class :
Groups : nt_admins
Home : /dev/null
Home Mode :
Shell : /bin/sh
Locked : no
OK? (yes/no):


2. Добавить этого пользователя в БД SAMBA:
#smbpasswd -a ИМЯ_ПОЛЬЗОВАТЕЛЯ


В последствии, если необходимо перенести пользователя из группы nt_users например в nt_buhgalters или nt_admins:
#pw usermod -n ИМЯ_ПОЛЬЗОВАТЕЛЯ -g ОСНОВНАЯ_ГРУППЫ –G ДОП_ГРУППЫ


Далее необходимо создать учетные записи компьютеров, которые мы будем подключать к домену.
Учетная запись компьютера отличается от учетной записи обычного пользователя только символом "$" в конце названия.
Допустим у нас есть 3 Windows ПК, "comp1", "comp2" и "comp3", сделаем для них соответствующие учетные записи. Совет: чтобы не мусорить и не плодить лишние группы, можно добавить все ПК в одну группу, например nt_computers.





#pw group add nt_computers


Создадим учетные записи для Windows компьютеров указав для них основной группой nt_computers
#pw useradd -n comp1$ -d /dev/null -s /usr/bin/false –g nt_computers

#pw useradd -n comp2$ -d /dev/null -s /usr/bin/false –g nt_computers
#pw useradd -n comp3$ -d /dev/null -s /usr/bin/false –g nt_computers


ВАЖНО: также нужно добавить в группу компьютеров САМ СЕРВЕР в данном случае это:
#pw useradd -n srv$ -d /dev/null -s /usr/bin/false –g nt_computers


Установка SQUID с ntlm-аутентификацией.

В нашем случае прокси-сервер squid с подключенным модулем ntlm - аутентификации будет автоматически брать данные о пользователе, который пытается выйти в интернет, сравнивать их с базой пользователей samba (для этого как раз и служит ntlm-модуль), и в случае, если пользователь в БД нашелся (а для нас так и есть - ведь все наши сотрудники занесены в БД samba как пользователи домена), будет пускать его в Интернет.

1. Устанавливаем Squid
#cd /usr/ports/www/squid31

#make install clean


2. Создаем файл конфига
#cat /usr/local/etc/squid/squid.conf.defaul > /usr/local/etc/squid/squid.conf


3. Настраиваем файл /usr/local/etc/squid/squid.conf в соответствии с нужными параметрами.
Вот пример настройки squid для сквозной авторизации (юзеру не придется вводить пароль при открытии браузера/входе на прокси-сервер)


Пример файла squid.conf можно скачать здесь.

После этого обязательно проставить права на папку winbindd_privilegied:





#chown –R root:squid /var/db/samba34/winbindd_privileged


4. Создадим (SWAP) для прокси сервера Squid
#squid -z

2009/10/25 18:03:26| Creating Swap Directories


Далее добавляем в /etc/rc.conf строку для автоматического запуска squid после перезагрузки:
 squid_enable="YES"

После этих действий советую перезагрузить сервер.

Telegram-канал @overclockers_news - это удобный способ следить за новыми материалами на сайте. С картинками, расширенными описаниями и без рекламы.
Оценитe материал

Возможно вас заинтересует

Популярные новости

Сейчас обсуждают